近日,网络安全圈连续曝出两个针对企业级设备的严重漏洞:思科集成管理控制器(IMC)认证绕过漏洞CVE-2026-20093(CVSS 9.8),以及飞塔FortiClient EMS远程代码执行漏洞CVE-2026-35616。这两个漏洞的共同特点是——均被确认已在野利用,且攻击者无需拥有任何账户凭据就能取得设备控制权。对于我们这类承接企业IT外包、日常管理客户服务器的团队来说,这两个漏洞值得立即排查。
先说CVE-2026-20093。思科IMC(Integrated Management Controller)是嵌入在企业服务器主板上的带外管理芯片,类似于HP的iLO和Dell的iDRAC。它的设计初衷是让运维人员在操作系统关机、宕机的情况下也能远程管理服务器——包括开关机、BIOS配置、控制台访问等。问题就出在这里:这个接口拥有比操作系统更底层的控制权,一旦被攻破,攻击者甚至可以在操作系统层面完全不留痕迹地持久驻留。CVE-2026-20093的成因是Cisco IMC在处理密码修改请求时未正确验证调用者身份,攻击者只需构造特制HTTP请求,就能直接重置管理员密码,进而接管整台物理服务器。受影响的产品范围很广:5000系列企业服务器、Catalyst 8300系列边缘设备、UCS C系列M5/M6机架服务器、UCS E系列M3/M6服务器均在列。
CVE-2026-35616则针对Fortinet FortiClient EMS(企业终端管理服务器)。FortiClient EMS是负责统一管理企业内网所有终端上FortiClient防病毒/VPN客户端的服务端。这里存在一个不当访问控制漏洞,攻击者无需登录就能触发RCE(远程代码执行)——也就是说,只要攻击者能访问到EMS服务器的网络端口,就可能完全控制这台安全管理服务器。受影响版本为FortiClient EMS 7.4.5至7.4.6,美国CISA已将其列入KEV(已知被利用漏洞目录)并下达48小时修复令。
从外包运维的角度来看,这两个漏洞的共同风险点都源于"管理接口直接暴露在互联网"。很多企业在采购服务器后,直接将IMC/iLO管理口接到公网,或者将FortiClient EMS对互联网开放,认为有账号密码就够了。这种认知在当前攻击环境下已经非常危险。我们的建议是:第一,立即检查所有Cisco服务器的IMC固件版本,优先对暴露在公网的设备进行固件升级;第二,FortiClient EMS用户应立即更新至7.4.7及以上版本,同时通过防火墙策略限制EMS服务端口的访问来源;第三,对于暂时无法立刻完成补丁的设备,应通过ACL或防火墙规则将IMC管理接口的访问限制到运维跳板机IP,切断来自公网的直接访问路径;第四,建议全面审计BMC/IMC/iLO/iDRAC等带外管理接口的暴露情况,这类接口通常运行在8443或443端口,容易被忽视。
企业IT安全最怕的不是零日漏洞本身,而是已知漏洞迟迟未修。CVE-2026-20093在披露时已有在野利用样本,说明攻击者的响应速度远超很多企业的补丁节奏。对于委托我们做IT外包的客户,我们会在日常巡检中将管理接口的暴露状态列为重点检查项。如果贵公司使用了上述Cisco或Fortinet设备,欢迎联系我们协助开展排查和加固工作。